网络安全技术实践教程（微课版）-教案 网络嗅探技术

《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日教案12（第12号/17号）课程名称网络安全技术实践授课日期、节次班级课堂类型理论+实践地点章节（任务）名称任务6.1网络嗅探、6.2MAC地址泛洪攻击教学目标知识目标1.掌握网络嗅探技术的基本概念、原理和工作机制。2.了解嗅探器的工作原理，以及其在网络中的作用和影响。3.熟悉网络协议和通信过程，以及嗅探器如何捕获和分析数据包。能力目标1.能够熟练使用网络嗅探工具进行数据包的捕获和分析。2.能够综合运用MAC地址洪泛攻击实现复杂网络环境下的嗅探。素质目标1.培养学生树立网络安全意识，保护个人和组织的信息安全。2.培养学生分析问题和解决问题的能力。3.培养学生的团队合作精神和沟通能力。学情分析授课对象：计算机网络技术专业学生，包括中职与普高混合班。学生特点：计算机网络技术专业学生，基础知识存在差异，需针对性讲解与实践操作结合。学习习惯：偏爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。重难点分析教学重点1.网络嗅探技术的原理和工作机制。2.MAC地址洪泛攻击原理。教学难点嗅探器如何捕获和分析数据包MAC地址洪泛攻击的实现信息化应用方法通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任务，学生自主学习并完成任务。课程思政元素1.法律意识。未经授权的情况下，网络嗅探可能会侵犯个人隐私和社会安全，属于违法行为。2.服务意识。塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。3.工匠精神。锻炼学生实事求是的工作态度，培养学生严谨细致的工作作风、精益求精的工匠精神。教学实施过程课前：平台发布网络嗅探技术任务1任务2学习任务，学生预习。课中：导入新课某学校网络信息中心近期发现其内部网络中出现了异常流量，怀疑有人利用网络嗅探技术窃取学校信息。由于众智科技正在进行该校的等保测评工作，学校便委托众智科技针对此事件展开调查。公司安排工程师小林分析网络异常流量数据，确定是否存在嗅探攻击，定位嗅探攻击的来源，然后确定攻击者的身份。任务一知识点讲解1网络嗅探简介网络嗅探是指利用计算机的网络接口截获其他计算机的数据报文的一种手段。网络嗅探需要用到嗅探器，其最早为网络管理员使用的技术工具。有了嗅探器，网络管理员可以实时掌握网络的实际情况，查找网络漏洞和检测网络性能。当网络性能急剧下降的时候，网络管理员可以通过嗅探器分析网络流量，找出网络阻塞的原因。网络嗅探是网络监控系统的实现基础。网络的特点之一就是数据总是在流动，从一处到另一处，而互联网是由错综复杂的各种网络交汇而成的，当数据从网络中的一台计算机到另一台计算机的时候，通常会经过大量不同的网络设备，使用traceroute命令可以看到具体的路径。在数据传输过程中，如果设备的网卡被置于混杂模式，该网卡将能接收到一切通过它的数据，而不管实际上数据的目的地址是不是自身。这就意味着，假如传送的数据是企业的机密文件，或是账户密码，就存在被黑客嗅探并截获的风险。网络嗅探主要可在两种网络中实现。一种是交换式网络：在这种网络下，需将嗅探器放到网络连接设备（如网关服务器、路由器）上或者放到可以控制网络连接设备的计算机上。当然，要实现侦听效果，需要借助于交换机的镜像功能，将所有需要的数据镜像到监控端口，也可通过其他黑客技术来实现该效果。另一种是共享式网络：针对共享式连接的局域网，嗅探器放到任意一台主机上就可以实现对整个局域网的侦听。共享式网络集线器设备接收到数据时，并不是直接将其发送到指定主机，而是通过广播方式将其发送到每台主机，局域网内所有主机都会收到数据信息，存在安全隐患。网络嗅探技术是一把双刃剑，作为管理工具，其可以监视网络状态、数据流量以及信息传输等，但网络嗅探技术也常被黑客用于窃听网络中流经的数据包，获取敏感信息，如用户正在访问什么网站、用户的邮箱密码是多少等。很多攻击方式（如会话劫持）都是建立在网络嗅探的基础上的，网络嗅探技术是一种很重要的网络攻防技术，属于被动攻击技术，具有隐蔽性。2常用的网络嗅探工具工具分为软件和硬件两种，这里主要介绍常用的网络嗅探软件，主要有以下几种。1．WiresharkWireshark是最经典、最著名的网络分析器和密码破解工具之一，它是一个开源免费的高性能网络协议分析软件，前身为网络协议分析软件Ethereal。通常，技术人员使用Wireshark对网络进行故障排查、检查安全问题，以及了解有关网络协议内部的更多信息，同时也可以将其作为学习各种网络协议的教学工具等。Wireshark支持现在市面上的绝大多数以太网网卡，以及主流的无线网卡。Wireshark具有如下特点。（1）支持多种操作系统平台，可以运行于Windows、Linux、MacOSX10.5.5、Solaris和FreeBSD等操作系统平台上。（2）支持超过上千种网络协议，并且还会不断地增加对新协议的支持。（3）支持实时捕捉数据，可在离线状态下对其进行分析。（4）支持对VoIP（VoiceoverIP，互联网电话）数据包进行分析。（5）支持对通过IPsec、ISAKMP（InternetSecurityAssociationandKeyManagementProtocol，互联网安全联合密钥管理协议）、Kerberos、SNMPv3、SSL/TLS（TransportLayerSecurity，传输层安全协议）、WEP（WiredEquivalentPrivacy，有线等效保密）和WPA（WiFiProtectedAccess，WiFi保护接入）/WPA2等协议加密的数据包进行解密。（6）可以实时获取来自以太网、IEEE802.11、PPP（Point-to-PointProtocal，点到点协议）/HDLC（High-levelDataLinkControl，高级数据链路控制）、ATM（AsynchronousTransferMode，异步传输方式）、蓝牙、令牌环和FDDI（FiberDistributedDataInterface，光纤分布式数据接口）等网络中的数据包。（7）支持读取和分析许多其他网络嗅探软件保存的文件，包括tcpdump、SnifferPro、EtherPeek、MicrosoftNetworkMonitor和CiscoSecureIDS等软件。（8）支持以各种过滤条件进行捕捉，支持通过设置显示过滤来显示指定的内容，并能以不同的颜色显示过滤后的报文。（9）具有网络报文数据统计功能。（10）可以将捕捉到的数据导出为XML、PostScript、CSV及普通文本文件格式。2．tcpdumptcpdump是一个老牌的使用频繁的网络协议分析软件，它是一个基于命令行的工具。tcpdump通过使用基本的命令表达式，来过滤网卡上要捕捉的流量。它支持现在市面上的绝大多数以太网适配器。tcpdump是一个工作在被动模式下的嗅探器。我们可以用它在Linux系统下捕获网络中进出某台主机接口卡的数据包，或者整个网络段中的数据包，然后对这些捕获到的网络协议（如TCP、ARP）数据包进行分析和输出，来发现网络中正在发生的各种状况。tcpdump可以很好地运行在UNIX、Linux和MacOSX操作系统上，可以从官网下载它的二进制包。tcpdump在Windows系统下的版本名称为Windump，它也是一个免费的基于命令行的网络分析协议软件。3．dsniffdsniff是一个非常强大的网络嗅探软件套件，它是最先将传统的被动嗅探方式向主动嗅探方式改进的网络嗅探软件之一。dsniff中包含许多具有特殊功能的网络嗅探软件，这些特殊的网络嗅探软件可以使用一系列的主动攻击方法，将网络流量重新定向到嗅探器主机，使得嗅探器有机会捕获到网络中某台主机或整个网络的流量。这样一来，我们就可以将dsniff在交换或路由的网络环境中，以及在拨号上网的环境中使用。甚至，当安装有dsniff的嗅探器不直接连接到目标网络当中，它依然可以通过远程的方式捕获到目标网络中的网络报文。dsniff支持Telnet、FTP、SMTP、POPv3（PostOfficeProtocolversion3，邮局协议第3版）、HTTP，以及其他的一些高层网络应用协议。它的套件当中，有一些网络嗅探软件具有特殊的窃取密码的方法，可以用来支持对使用SSL和SSH加密的数据进行捕获和解密。dsniff支持现在市面上的绝大多数以太网网卡。4．EttercapEttercap是一个高级网络嗅探软件，它可以在使用交换机的网络环境中使用。Ettercap能够对大多数的网络协议数据包进行解码，不论数据包是否加密过。它也支持现在市面上的绝大多数以太网网卡。Ettercap拥有一些独特的方法，以捕获主机或整个网络的流量，并对这些流量进行相应的分析。5．ScapyScapy是一种非常流行且有用的数据包制作工具，可通过处理数据包来工作，可解码来自多种协议的数据包。Scapy能够捕获数据包、关联发送请求和答复等。Scapy还可以用于扫描、跟踪路由、探测或发现网络。Scapy可替代其他工具，如Nmap、arpspoof、tcpdump、p0f等。6．KismetKismet是一款开源的无线网络嗅探器和入侵检测系统，能够捕获和分析IEEE802.11无线网络流量。Kismet不依赖被动模式的无线网卡，可以在不发送任何数据包的情况下监控无线网络，这使得它成为一款极其强大的无线网络分析工具。它的主要特点如下。（1）被动嗅探：无需发送数据包即可捕获无线网络流量。（2）多协议支持：支持IEEE802.11、Bluetooth、RTL433和其他无线协议。（3）扩展性强：支持插件和外部工具，能够扩展其功能。（4）实时检测：实时检测和报告无线网络中的设备和活动。（5）跨平台：支持Linux、macOS和Windows系统。7．NetworkMinerNetworkMiner由网络安全软件供应商Netresec创建。Netresec专门研究、开发用于网络取证和网络流量分析的软件和程序。NetworkMiner常被用作被动嗅探器或数据包捕获工具，以检测各种会话、主机名、开放端口、操作系统等。它还可用于解析PCAP文件以进行脱机分析，并能够重组传输的数据文件并从PCAP文件进行认证。在以太网中，有一些网络嗅探软件也是比较常用的。例如，SnifferPro网络协议分析软件，它可以在多种平台下运行，用来对网络运行状况进行实时分析，而且具有丰富的图示功能；Analyzer，它是一个运行在Windows操作系统下的免费的网络嗅探软件。另外，还有一些商用的网络嗅探软件，需要支付一定的费用才能使用，但功能也更加强大。3网络嗅探的危害与防范在网络中，黑客可能会用网络嗅探来做一些危害网络安全的事。他们能够捕获专用的或者机密的信息，例如金融账号等。许多用户过于放心地在网上使用自己的信用卡或现金账号，然而sniffer可以很轻松地截获在网上传送的用户姓名、口令、信用卡号码、账号等。此外，黑客可以通过拦截数据包偷窥机密或敏感的信息，甚至拦截整个会话过程。为了有效抵御网络嗅探攻击，确保敏感信息在网络中的安全传输，可以通过以下几个方面进行防范。（1）对数据进行加密：对数据进行加密是保障安全的必要条件，其安全级别取决于加密算法的强度和密钥的强度。通过使用加密技术，可以防止使用明文传输信息。（2）实时检测嗅探器：监测网络异常情况，及时发现可能存在的嗅探器。（3）使用安全的拓扑结构：将非法用户与敏感的网络资源相互隔离，网络分段越细，则安全程度越高。任务一实施步骤1．在主机上架设FTP服务器（1）打开主机控制面板下的网络连接，将除了“VMwareNetworkAdapterVMnet8”网卡之外的所有网卡禁用。在主机上安装FTP服务器软件，设置账户名称为“admin”，账户密码为“123456”，并设置该用户相应的访问目录（C:\users\deng\Desktop\网络嗅探）和账户权限，如图6-1所示。图6-1FTP服务器配置（2）进入访问目录，新建一个名为“测试文本”的文本文件，打开文件，输入文本内容；然后任意添加一张JPG图片，将其重命名为“测试图片”，如图6-2所示。图6-2添加FTP服务器资源2．启动Wireshark嗅探器（1）在主机上启动Wireshark嗅探器，选择网卡“VMwareNetworkAdapterVMnet8”，开始实时嗅探该网卡的数据流，如图6-3所示。LINKWord.Document.8C:\\Users\\Administrator\\Desktop\\个人资料\\网络安全教材编写\\PPT制作\\ZW.docOLE_LINK2\a\r图6-3启动嗅探器（2）在虚拟机靶机上访问FTP服务器，输入用户名和密码，登录访问目录，打开目录下的文本和图片资源，如图6-4所示。图6-4在靶机上访问FTP资源3．嗅探用户名和密码（1）在Wireshark嗅探器的过滤器搜索框中输入“ftp”，找到FTP相关的数据包，选择一行数据包并右击，在弹出的快捷菜单中依次选择“追踪流”→“TCPStream”，如图6-5所示。图6-5追踪数据流（2）在打开的窗口中，修改右下角的“流”为“1”，这样就能够看到用户名和密码信息，结果如图6-6所示。图6-6嗅探用户名和密码4．嗅探文本文件和图片文件（1）在Wireshark嗅探器的过滤器搜索框中输入“ftp-data”，找到FTP传输数据相关的数据包，选择“Info”下扩展名为“txt”的那一行数据包并右击，在弹出的快捷菜单中依次选择“追踪流”→“TCPStream”，这样就能看到本次FTP传输的文本文件内容。结果如图6-7所示。图6-7嗅探文本文件内容（2）在上述窗口中，修改右下角的“流”为“5”，“Showdataas”选择“原始数据”，如图6-8所示。图6-8嗅探到图片文件（3）单击“另存为…”按钮，在打开的窗口中将文件名修改为“嗅探到的图片”，并将文件保存至计算机中的合适位置，如图6-9所示。图6-9保存原始数据（4）使用010Editor软件，单击“打开”按钮，选择路径，打开刚刚保存的文件，如图6-10所示。图6-10用010Editor打开文件（5）利用百度搜索到JPG文件的文件头为“FFD8”，如图6-11所示。图6-11搜索JPG文件的文件头（6）在010Editor软件中，按快捷键“Ctrl+F”查找“FFD8”，在“FFD8”之后的十六进制数据就是我们需要的图片数据。如果“FFD8”的前面也有数据，则其是HTTP请求头，可直接删除。最终效果如图6-12所示。图6-12确定图片数据（7）将修改后的文件另存为JPG格式，打开保存后的文件，即可显示还原后的图片，如图6-13所示。图6-13还原图片任务2知识讲解1MAC地址简介MAC地址也叫物理地址、硬件地址，由网络设备厂商在生产时烧录在网卡的EPROM（ErasableProgrammableRead-OnlyMemory，可擦可编程只读存储器，一种闪存芯片，通常可以通过程序擦写）中。MAC地址用于在网络中唯一标识一块网卡，一台设备若有一块或多块网卡，则每块网卡都有一个唯一的MAC地址。MAC地址的长度为48位（6个字节），通常表示为12个十六进制数，例如，00-16-EA-AE-3C-40就是一个MAC地址。其中第1位代表单播或多播地址，用0或1标识；第2位代表全局或本地地址，用0或1标识；第3～24位，由IEEE管理，保证各个厂商提供的MAC地址不重复；第25～48位，由厂商自行分配，代表该厂商所制造的某个网络产品（如网卡）的序列号。形象地说，MAC地址就如同身份证上的身份证号码，具有唯一性。我们可以通过在PC端的“命令提示符”窗口中执行ipconfig-all来查询设备的MAC地址，如图6-14所示。图6-14查询MAC地址在正常的网络通信过程中，IP地址和MAC地址相互搭配，IP地址负责标识设备网络层地址，MAC地址负责标识设备的数据链路层地址。无论是局域网，还是广域网中设备之间的通信，最终都表现为将数据包从初始节点发出，从一个节点传递到另一个节点，最终传递到目的节点。数据包在这些节点之间的移动都是由ARP将IP地址映射到MAC地址来完成的。2泛洪简介泛洪（Flooding）是交换机使用的一种数据流传递技术，它将从某个接口收到的数据流发送到除该接口之外的所有接口。如图6-15所示，PC1向PC2发送数据，数据帧在经过交换机的时候，交换机会把数据帧中的源MAC地址和进入的交换机端口号记录到MAC地址表中。由于一开始MAC地址表中没有PC2的MAC地址和端口号绑定信息，所以交换机会将这个数据帧进行全网转发，这就是泛洪。图6-15泛洪原理3MAC地址泛洪攻击原理在介绍MAC地址泛洪攻击之前，我们要先了解交换机的数据转发原理。交换机是基于MAC地址转发数据帧的，在转发过程中依靠对CAM（ContentAddressableMemory，内容寻址存储）表（一张记录MAC地址的表）的查询来确定正确的转发接口。为了完成数据的快速转发，该表具有自主学习机制，交换机会将学习到的MAC地址存储在该表里。但是CAM表的容量是有限的，只能存储不有限数量的条目，并且MAC地址存在老化时间（一般为300s）。当CAM表记录的MAC地址达到上限后，新的条目将不会被添加到CAM表中，一旦在查询过程中无法找到相关目的MAC地址对应的条目，则此数据帧将被作为广播帧来处理，广播到所有接口。MAC地址泛洪攻击正是利用这一特性，通过不断地生成不同的虚拟MAC地址发送给交换机，使得交换机进行大量学习。这将导致交换机MAC地址表缓存溢出，让其无法学习新的正确的MAC地址。如果这时交换机需要转发一个正常的数据帧，因为其CAM表已经被伪造MAC地址填满，所以交换机会广播数据帧到所有接口，攻击者利用这个机制就可以获取该正常数据帧的信息，达到MAC地址泛洪攻击的目的。4如何防御MAC地址泛洪攻击MAC地址泛洪攻击的防御措施具体如下。（1）设置交换机端口最大可通过的MAC地址数量。限制交换机每个端口可学习MAC地址的最大数量（假如为20个），当一个端口学习的MAC地址数量超过这个限制数值时，将超出的MAC地址舍弃。（2）静态MAC地址写入。在交换机端口上设置MAC地址绑定，指定只能是某些MAC地址通过该端口。（3）对超过一定数量的MAC地址进行禁止通过处理。任务二实训练习1．绘制拓扑图，完成设备配置（1）绘制图6-16所示网络拓扑图，配置Server1的IP地址，打开Server1的“服务器信息”配置选项卡，选择“FtpServer”，设置好“文件根目录”，单击“启动”按钮，得到图6-17所示结果。（2）配置Cilent1的IP地址，打开Cilent1的“客户端信息”配置选项卡，选择“FtpCilent”，设置服务器地址为“0”，用户名为“admin”，密码为“123456”，单击“登录”按钮，可以看到，能够正常访问FTP服务器，效果如图6-18所示。图6-17配置Server1的服务器信息图6-18配置Cilent1的客户端信息（3）双击拓扑图中的设备Cloud1，在打开窗口的“绑定信息”下拉列表中，选择“VMwareNetworkAdapterVMnet8--IP：”，单击“增加”按钮，创建一个新的端口。将“端口映射设置”中的“出端口编号”修改为“2”，勾选“双向通道”复选框，单击“增加”按钮，完成Cloud1的配置，如图6-19所示。图6-19配置Cloud1端口（4）将LSW1与Cloud1连接起来，使得Kali虚拟机靶机能够通过动态设备接口连接到eNSP的局域网中。2．配置Kali虚拟机靶机（1）选中Kali虚拟机靶机，在VMware工具栏上依次选择“虚拟机”→“设置”，弹出“虚拟机设置”对话框，选中“网络适配器”，在右侧的“网络连接”中选中“自定义(U):特定虚拟网络”，在其下拉列表中选择“VMnet8(仅NAT模式)”，如图6-20所示。图6-20设置网络连接（2）在Kali系统中，在工具栏中选择“RootTerminalEmulator”，输入Kali系统密码后，进入命令输入界面，输入命令“ping0”并执行，测试Kali系统与局域网服务器是否连通，如图6-21所示。图6-21测试Kali系统与局域网服务器是否连通（3）在eNSP中，双击交换机LSW1，进入命令输入界面，输入命令“displaymac-address”并执行，这里因为之前Cilent1客户端已经登录Server1服务器的FTP服务，所以在MAC地址表中能够看到GE0/0/1和GE0/0/2。输入“undomac-address”命令并执行，清空MAC地址表，如图6-22所示。图6-22查看并清空MAC地址表3．MAC地址泛洪攻击（1）在Kali系统中，开启MAC地址泛洪攻击，输入命令“macof”并执行，可以看到大量的伪造的MAC地址不断地被发送给交换机LSW1，效果如图6-23所示。图6-23Kali系统开启MAC地址泛洪攻击如果Kali系统中没有安装macof，需要先执行“aptinstalldsniff”命令，安装dsniff，再进行命令“macof”。（2）如图6-24所示，打开Cilent1“客户端信息”选项卡，再次单击“登录”按钮，发现此时已经无法登录。（3）查看交换机LSW1的MAC地址表，发现MAC地址表已经被占满，如图6-25所示。图6-24FTP服务无法登录图6-25交换机MAC地址表占满4．嗅探用户名和密码（1）在Kali系统命令输入界面，按快捷键“Ctrl+C”，停止macof攻击，打开Kali系统下的Wireshark工具，网络接口选择“eth0”，开启网络嗅探，如图6-26所示。图6-26开启网络嗅探（2）打开Client1的“客户端信息”选项卡，单击“登录”按钮，因为MAC地址泛洪攻击已经停止，所以能够正常登录服务器Server1，如图6-27所示。图6-27登录FTP服务器（3）在Wireshark嗅探器的过滤器搜索框中输入“tcp.streameq0”，选择任意一行数据包并右击，在弹出的对话框中依次选择“追踪流”→“TCPStream”，在打开的界面中就可以看到用户名和密码信息，如图6-28所示。图6-28嗅探到用户名和密码课后：1.任务总结2.教师答疑3.布置预习任务作业布置1.请搭建嗅探测试环境并使用网络嗅探软件对网络进行探测。搭建一个模拟的企业网络环境，包括两台计算机、一台交换机。在网络中的一台计算机上安装并运行所选的网络嗅探软件。配置嗅探软件，使其能够捕获同一局域网内的数据包。分析捕获的数据包，识别出其中的敏感信息（如用户名、密码、文件等）。2.假如你是一家公司的网络安全管理员，公司内网中的一台核心交换机连接了多个重要服务器和客户端。最近，你接到报告称网络性能出现异常，怀疑可能是交换机遭受了MAC地址泛洪攻击。为了验证这一怀疑并采取相应的防范措施，你打算在模拟环境中进行一次演练。要求设置一个包含至少两台交换机和若干台主机的模拟网络环境。使用网络攻击工具构造大量具有不同MAC地址的数据包，并将这些数据包发送至交换机，模拟MAC地址泛洪攻击。观察交换机在受到攻击后的行为变化，如是否出现数据广播风暴、网络性能下降等现象。实施防范策略以阻止MAC地址泛洪攻击。可以实施的防范措施包括启用端口安全功能、限制MAC地址学习数量、配置静态MAC地址绑定等。教学反思以能力培养为核心，深化思政与技术融合。网络嗅探是网络安全攻防的基础技能，是学习网络协议、安全思维重要载体，让学生理解不能随意进行网络嗅探，提升法律意识。《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日教案13（第13号/17号）课程名称网络安全技术实践授课日期、节次班级课堂类型理论+实践地点章节（任务）名称任务6.3ARP欺骗攻击教学目标知识目标1.掌握ARP欺骗攻击的原理。2.熟悉ARP欺骗攻击的检测与防御能力目标1.能够有效检测并识别ARP欺骗攻击。2.能够针对ARP欺骗攻击进行有效的防御。素质目标1.培养学生精益求精的工匠精神。2.培养学生树立牢固的法治观念，提升网络安全意识。学情分析授课对象：计算机网络技术专业学生，包括中职与普高混合班。学生特点：计算机网络技术专业学生，基础知识存在差异，需针对性讲解与实践操作结合。学习习惯：偏爱实践性强的课程，理论学习兴趣较低。乐于通过案例和互动式教学理解知识点。重难点分析教学重点1.ARP欺骗攻击的原理。2.ARP欺骗攻击的检测与防御。教学难点1.ARP欺骗攻击的原理。2.ARP欺骗攻击的检测与防御。信息化应用方法通过课件、视频、案例分析、互动提问等多种信息化方式，借助学习通平台发布学习资源和任务，学生自主学习并完成任务。课程思政元素1.法律责任。结合网络安全法第27条、第63条，明确未经授权实施ARP攻击可能构成“非法侵入计算机信息系统罪”。2.服务意识。塑造职业精神，使学生形成运用所学专业知识为社会贡献的责任感。3.工匠精神。锻炼学生实事求是的工作态度，培养学生严谨细致的工作作风、精益求精的工匠精神。教学实施过程课前：平台发布网络嗅探技术任务3学习任务，学生预习。课中：导入新课工程师小林在排查交换机MAC地址泛洪攻击的过程中，发现内部网络中的设备存在通信延迟或无法正常访问的问题。经过分析，小林发现了伪造IP地址和MAC地址，怀疑内部网络受到了ARP欺骗攻击。因此，小林决定对ARP欺骗攻击展开详细的排查。任务知识点讲解1ARP简介ARP是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时，将包含目标IP地址的ARP请求广播到局域网上的所有主机，并接收返回消息，以此确定目标的物理地址；收到返回消息后，将该IP地址和物理地址存入本机ARP缓存中，并保留一定时间，下次请求时可直接查询ARP缓存以节约资源。我们知道，不管网络层使用的是什么协议，在实际网络的链路上传送数据帧时，最终还是必须使用物理地址，但IP地址和物理地址因格式不同而不存在简单的映射关系。此外，在一个网络中，可能经常会有新的设备加入进来，或撤走一些旧的设备。那么怎样才能找到目的设备的物理地址？ARP就是为了解决这样的问题而出现的。解决办法是在每一个主机中都设置一个ARP高速缓存（ARPCache），其中存储了局域网内各主机和路由器的IP地址到物理地址的映射表。当主机A欲向本局域网内的某个主机B发送IP数据包时，首先在其ARP高速缓存中查看有无主机B的IP地址。如果有，就可查出其对应的物理地址，再将此物理地址写入MAC数据帧，然后通过局域网将该MAC数据帧发往此物理地址；如果没有，可能是主机B刚入网的原因，在这种情况下，主机A会自动运行ARP，然后按照以下步骤获取主机B的物理地址。（1）在本局域网内广播发送一个ARP请求分组，询问主机B的物理地址。（2）该局域网内所有主机运行的ARP进程都会收到此ARP请求分组。（3）主机B的IP地址与ARP请求分组中要查询的IP地址一致，它会向主机A发送ARP响应分组，在响应分组中写入自己的物理地址。而其他主机的IP地址都与ARP请求分组中要查询的IP地址不一致，因此都忽略这个ARP请求分组。（4）主机A收到主机B的ARP响应分组后，就在其ARP高速缓存中写入主机B的IP地址到物理地址的映射。详细过程如图6-29所示。（a）主机A广播发送ARP请求分组（b）主机B向A发送ARP响应分组图6-29使用ARP获取物理地址的流程ARP用于解决同一个局域网上的主机或路由器的IP地址到MAC地址的映射问题。从IP地址到物理地址的解析是自动进行的，主机的用户通常是不知道这种地址解析过程的。当主机或路由器要和本网络上的另一个已知IP地址的主机或路由器进行通信时，ARP就会自动地将该IP地址解析为链路层所需要的物理地址。如果所要找的主机和源主机不在同一个局域网上，就要通过ARP找到一个位于本局域网上的某个路由器的物理地址，然后把分组发送给这个路由器，由这个路由器把分组转发给下一个网络，剩下的工作就由下一个网络来完成。ARP有以下4种典型使用场景。（1）发送方是主机，要把IP数据包发送到本网络上的另一个主机。这时用ARP找到目的主机的物理地址。（2）发送方是主机，要把IP数据包发送到另一个网络上的一个主机。这时用ARP找到本网络上的一个路由器的物理地址，剩下的工作由这个路由器来完成。（3）发送方是路由器，要把IP数据包转发到本网络上的一个主机。这时用ARP找到目的主机的物理地址。（4）发送方是路由器，要把IP数据包转发到另一个网络上的一个主机。这时用ARP找到本网络上另一个路由器的物理地址，剩下的工作由这个路由器来完成。PC端常用的ARP请求命令如下。（1）查看缓存表命令：arp–a。（2）建立静态缓存表命令（在一段时间内，如果主机不与某一IP地址对应的主机通信，则动态缓存表会删除对应的地址，但是静态缓存表中的内容则是永久性的）：arp-sipmac。（3）清空缓存表命令：arp-d。2ARP欺骗攻击原理从上述ARP获取MAC地址的过程中，我们可以发现ARP请求并不安全，其信任根基脆弱。在局域网框架内，默认主机之间无条件信赖。此环境下，任意设备皆能自由发出ARP响应，而接收端则不加甄别地全部接收，并将这些响应存储到ARP缓存中，没有设置真实验证机制。正因如此，恶意攻击者得以乘虚而入，散布伪造ARP响应，悄无声息地篡改目标机器的MAC映射表，实现ARP欺骗。此类攻击的核心在于凭空捏造IP地址与MAC地址的映射，将网络淹没于海量欺诈性ARP流量之中，仅需持续发送伪造ARP响应包流，即可逐步侵蚀、修改目标缓存中的IP-MAC映射关系，导致网络中断，甚至可能使中间人攻击得逞，网络安全防线面临严峻挑战。ARP欺骗攻击原理如图6-30所示。图6-30ARP欺骗攻击原理攻击者主机B向网关C发送一个响应，其中包括主机A的IP地址、主机B的MAC地址。同时，主机B向主机A发送一个响应，其中包括网关C的IP地址、主机B的MAC地址。这时，网关C就会将缓存表里主机A的MAC地址换成主机B的MAC地址，而主机A也会将缓存表里网关C的MAC地址换成主机B的MAC地址。因此，网关C发送给主机A的消息全被主机B接收，而主机A发送给网关C的消息也全被主机B接收，主机B便成为主机A和网关C通信的“中间人”。ARP欺骗攻击主要存在于局域网中，局域网中若有一台设备感染ARP木马，则该设备将试图通过ARP欺骗手段截获网络内其他设备的通信信息，从而造成局域网内设备通信延迟或故障。3ARP欺骗攻击特点与危害ARP欺骗攻击具有如下特点。（1）攻击成本低：不需要特殊的网络设备，攻击者只要能够将计算机接入网络，就能对网络内的主机实施ARP欺骗攻击。（2）技术要求低：ARP本身比较简单，且存在明显的安全漏洞，攻击者只要了解ARP的原理，就能够利用相应的攻击软件或自行编写软件进行攻击。（3）溯源困难：虽然攻击者处在网络内部，但由于ARP数据包只在IP层传送，如果没有专门的工具，用户很难发现自己被攻击。此外，许多攻击者都会伪造主机的IP地址和MAC地址，甚至假冒其他主机的地址来实施攻击，使查找攻击主机变得更加困难。鉴于ARP欺骗攻击的这些特点，其对网络环境构成的威胁不容小觑，我们应了解ARP欺骗攻击的典型危害。（1）使同一网段内的其他用户无法上网。（2）可嗅探到交换式局域网中的所有数据包。（3）可对局域网内的信息进行篡改。（4）可控制局域网内任何主机。4ARP欺骗攻击的检测与防御鉴于ARP欺骗攻击会带来严重危害，及时对其进行检测与防御显得尤为重要，以下列举了几种常见的检测与防御措施。（1）主机级主动检测：主机定期向所在局域网发送查询自己的IP地址的ARP请求报文，如果收到另一ARP响应报文，则说明该网络上另有一台机器与自己使用相同的IP地址。（2）服务器级检测：比较同一MAC地址对应的IP地址，如果这些IP地址不同，则说明对方伪造了ARP响应报文。（3）网络级检测：配置主机定期向中心管理主机报告其ARP缓存表的内容，或者利用网络嗅探工具连续监测网络内主机物理地址与IP地址对应关系的变化。ARP欺骗攻击的防御可以从以下几个方面着手。（1）MAC地址绑定：由于ARP欺骗攻击是通过伪造IP地址和MAC地址欺骗目标主机，从而更改ARP缓存中的路由表进行攻击，因此，只要将局域网中每台计算机的IP地址与MAC地址绑定，就能有效地防御ARP欺骗攻击。（2）使用静态缓存表：如果需要更新ARP缓存表，则手动进行更新，以确保黑客无法进行ARP欺骗攻击。（3）使用ARP服务器：在确保ARP服务器不被攻击者控制的情况下，使用ARP服务器来搜索自己的ARP缓存表来响应其他客户端的ARP广播。（4）使用ARP防火墙有条件的情况下，使用ARP防火墙等防御ARP欺骗攻击的工具来进行ARP欺骗攻击的防御。（5）隔离攻击源：及时发现正在进行ARP欺骗攻击的客户端并立即对其采取隔离措施。（6）划分VLAN（VirtualLocalAreaNetwork，虚拟局域网）：在3层交换机的网络中，可以通过划分VLAN来缩小ARP欺骗攻击的影响范围。VLAN的划分不受网络端口实际物理位置的限制，用户可以根据不同客户端的功能、应用等将其从逻辑上划分在一个相对独立的VLAN中，每个客户端的主机都连接在支持该VLAN的交换机端口上。同一VLAN内的主机形成一个广播域，不同VLAN之间的广播报文能够得到有效的隔离。由于ARP欺骗攻击不能跨网段进行，因此，这种方法能够有效地将ARP欺骗攻击限制在一定范围内。但其缺点是增加了网络管理的复杂度，而且难以适应网络的动态变化。。任务实施步骤1．查看IP地址和MAC地址（1）在虚拟机攻击机上，进入命令输入界面，输入命令“ifconfig”并执行，查看攻击机IP地址和MAC地址信息，其IP地址为“35”，MAC地址为“00:0c:29:82:cb:54”，如图6-31所示。图6-31查看攻击机IP地址和MAC地址（2）在虚拟机靶机上，进入命令输入界面，输入命令“ipconfig/all”并执行，查看靶机的IP地址和MAC地址信息，IP地址为“43”，物理地址为“00-0C-29-5D-A2-36”，如图6-32所示。图6-32查看靶机IP地址和MAC地址2．实施ARP欺骗攻击（1）在Kali系统虚拟机攻击机中，进入命令输入界面，输入命令“fping-asg/24”，并执行查找靶机所在网段中当前存活的主机，查看是否能看到靶机的IP地址，如图6-33所示。图6-33当前存活的主机从图6-33中可以看出，当前存活的主机有4台，分别是攻击机本机（IP地址：35）、宿主机（IP地址：43）、VMwareWorkstationPro系统所在主机（IP地址：）和网关（IP地址：）。（2）输入命令“arp-a”并执行，查看当前存活的主机的IP地址与MAC地址映射表，如图6-34所示。图6-34当前存活的主机的IP地址与MAC地址映射表在这里需要特别注意，网关IP地址“”对应的MAC地址为“00:50:56:fa:92:df”。（3）输入命令“arpspoof-ieth0-t43”并执行，这里的“-i”用于指定网卡，“-t”用于指定持续不断攻击。该命令执行后，攻击机会持续不断地发送ARP响应，进行ARP欺骗攻击，如图6-35所示。图6-35开启ARP欺骗攻击（4）此时，进入Windows10系统宿主机，发现已经无法正常上网，如图6-36所示。（5）进入命令输入界面，输入命令“arp-a”并执行，可以看到网关IP地址“”对应的MAC地址已经变为“00-0c-29-82-cb-54”，而这个MAC地址，就是Kali系统攻击机IP地址对应的MAC地址，从而证明ARP欺骗攻击成功，如图6-37所示。图6-36目标靶机无法访问网络图6-37网关MAC地址改变（6）在攻击机命令输入窗口，按快捷键“Ctrl+C”，停止ARP欺骗攻击。再次进入目标靶机，测试发现，目标靶机已经能够正常访问网络。在命令输入窗口再次输入“arp-a”并执行，发现网关IP地址对应的MAC地址也已经恢复正常，如图6-38所示。图6-38目标靶机恢复正常课后：1.任务总结2.教师答疑3.布置预习任务作业布置搭建一个ARP欺骗攻击模拟网络环境，至少包括两台主机。使用ARP欺骗攻击工具发起ARP欺骗攻击，观察其对网络的影响，包括目标主机是否能够正常访问网络、其他主机与目标主机之间的通信是否受到影响，然后分析ARP欺骗攻击如何影响网络通信以及如何防御ARP欺骗攻击等。教学反思加强法律教育。引入案例：某企业员工因为ARP攻击导致局域网瘫痪被判刑，强调技术乱用需要承担法律后果。《网络安全技术实践教程》教案授课单位：授课时间：授课班级：授课教师：年月日图6-40仿冒DHCP服务器攻击原理3．仿冒DHCP报文攻击已获取到IP地址的合法用户可以通过DHCP向服务器发送DHCPRequest或DHCPRelease报文以续租或释放IP地址。如果攻击者冒充合法用户不断向DHCP服务器发送DHCPRequest报文来续租IP地址，会导致这些到期的IP地址无法正常回收，以致一些合法用户不能获得IP地址；若攻击者冒充合法用户发送的DHCPRelease报文被发往DHCP服务器，将会导致用户异常下线。4．DHCP中间人攻击攻击者利用ARP机制，让PC1学习到DHCP服务器的IP地址与攻击者的MAC地址的映射关系，并让DHCP服务器学习到PC1的IP地址与攻击者的MAC地址的映射关系，如此一来，PC1与DHCP服务器之间交互的IP报文都要经过攻击者进行中转。我们需要了解交换机在转发数据包的过程中，ARP缓存表中IP地址与MAC地址映射关系的变化过程，这与MAC地址欺骗类似。由于PC1与DHCP服务器之间的IP报文都会经过攻击者，攻击者就能很容易窃取到IP报文中的信息，对其进行篡改或实施其他破坏行为，从而达到直接攻击DHCP的目的。DHCP中间人攻击原理如图6-41所示。图6-41DHCP中间人攻击原理5DHCP攻击的防御措施DHCP攻击的防御措施如下。1．服务器端：设置信任端口将与DHCP服务器相连的交换机的端口分为两种类型——信任端口（Trusted端口）和非信任端口（Untrusted端口）。交换机所有端口默认都是非信任端口，将与合法DHCP服务器相连的端口配置为信任端口，这样交换机从信任端口接收到DHCP报文后，会将其正常转发，从而保证合法DHCP服务器能正常分配IP地址及其他网络参数。而其他从非信任端口接收到的DHCP报文，交换机会直接将其丢弃，不再转发，这样可以有效地阻止仿冒DHCP服务器分配假的IP地址及其他网络参数。2．服务器端：配置DHCPSnooping技术在DHCP服务器所在交换机上配置DHCPSnooping（侦听）技术，以防御DHCP耗尽攻击。交换机会对DHCPRequest报文的源MAC地址与CHADDR字段的值进行检查，如果一致则转发报文，如果不一致则丢弃报文。同时，运行DHCPSnooping的交换机会侦听往来于用户与DHCP服务器之间的信息，并从中收集用户的MAC地址（DHCP报文中的CHADDR字段中的值）、用户的IP地址（DHCP服务器分配给相应的CHADDR字段的IP地址）、IP地址租期等信息，将它们集中存放在DHCPSnooping绑定表中，交换机会动态维护DHCPSnooping绑定表。交换机接收到ARP报文后，会检查它的源IP地址和源MAC地址，若发现与DHCPSnooping绑定表中的条目不匹配，就丢弃该报文，这样可以有效地防止SpoofingIP/MAC攻击。3．服务器端：DHCPSnooping与IPSG技术的联动针对网络中常见的对源IP地址进行欺骗的攻击行为（攻击者仿冒合法用户的IP地址来向服务器发送IP报文），可以使用IPSG（IPSourceGuard，IP源防护）技术进行防御。在交换机上启用IPSG功能后，会对进入交换机端口的报文进行合法性检查，然后对报文进行过滤（检查结果合法，则转发；检查结果非法，则丢弃）。DHCPSnooping技术可以与IPSG技术进行联动，即对于进入交换机端口的报文进行DHCPSnooping绑定表的匹配检查，如果报文的信息与绑定表的一致，则允许通过；如果不一致，则丢弃该报文。报文的检查项可以是源IP地址、源MAC地址、VLAN和物理端口号等组合。如在交换机的端口视图下可支持IP地址+MAC地址、IP地址+VLAN、IP地址+MAC地址+VLAN等组合检查，在交换机的VLAN视图下可支持IP地址+MAC地址、IP地址+物理端口号、IP地址+MAC地址+物理端口号等组合检查。4．客户端：安装防病毒软件从客户端层面来看，可以将客户端的IP地址和MAC地址以及网关的IP地址和MAC地址进行ARP绑定，或者在客户端安装ARP防病毒软件来防御DHCP攻击。任务实施步骤1．配置交换机和路由器（1）绘制拓扑图，进入交换机LSW1配置界面，启动DHCP功能，配置DHCPSnooping，配置接入口启用DHCPSnooping功能，代码如下。sysnameLSW1#启用DHCP功能dhcpenable#启用DHCPSnooping功能dhcpsnoopingenable#将接入终口启用全部DHCPSnooping功能port-groupgroup-memberGigabitEthernet0/0/1toGigabitEthernet0/0/2dhcpsnoopingenable#将DHCP_Server连接端口设置为信任端口interfaceGigabitEthernet0/0/24dhcpsnoopingtrusted（2）进入路由器AR1配置界面，配置DHCP服务，代码如下。sysnameDHCPServer#IP地址配置interfaceGigabitEthernet0/0/0ipaddress54#DHCP服务器配置配置DNS服务器为14/dhcpenableippoolIP_150gateway-list54networkmaskdns-list14#设置全局配置模式interfaceGigabitEthernet0/0/0dhcpselectglobal2．Kali攻击机接入eNSP网络（1）在eNSP中，双击“Cloud1”图标，进入配置界面，直接单击“增加”按钮，添加第一个接口用于连接交换机LSW1，如图6-43所示。图6-43添加第一个接口（2）在“端口创建”的“绑定信息”下拉列表中选择“VMwareNetworkAdapterVMnet8—

IP:”，单击右上方的“增加”按钮，添加第二个接口，如图6-44所示，用于连接Kali攻击机。将“端口映射设置”中的“出端口编号”修改为“2”，勾选“双向通道”复选框，单击左下方“增加”按钮，完成Cloud1的配置。图6-44添加第二个接口3．PC1和Kali攻击机获取IP地址（1）进入PC1配置界面，选中“IPv4配置”下的“DHCP”，如图6-45所示，单击“应用”按钮，PC1自动获取DHCP服务器分配的IP地址。图6-45自动获取IP地址（2）进入命令输入界面，输入命令“ipconfig”并执行，就可以看到PC1获取到的IP地址、网关和DNS等信息，如图6-46所示。图6-46获取到的IP地址、网关和DNS等信息（3）打开VMwareWorkstation界面。依次单击“编辑”→“虚拟网络编辑器”，在弹出的“虚拟网络编辑器”界面，单击右下角的“更改设置”按钮，如图6-47所示。（4）在“虚拟网络编辑器”对话框中，选择“VMnet8”，将“使用本地DHCP服务将IP地址分配给虚拟机”取消勾选，单击“应用”按钮，如图6-48所示。图6-47“虚拟网络编辑器”界面图6-48修改VMnet8网络参数（5）进入Kali攻击机系统，在工具栏中选择“RootTerminalEmulator”，输入Kali系统密码后，进入命令输入界面，输入命令“dhclient”并执行，自动获取路由器AR1上的DHCP服务器分配的IP地址。输入命令“ipad”并执行，查看当前获取到的IP地址信息，如图6-49所示。图6-49获取并查看IP地址信息（6）进入路由器AR1配置界面，输入命令“displayippoolnameIP_150used”并执行，查看当前已经分配的IP地址信息，如图6-50所示。图6-50查看当前已经分配的IP地址信息4．使用dhcpstarv工具攻击（1）在eNSP的工具栏中选择“数据抓包”，在弹出的对话框中，选择路由器“AR1”的“GE0/0/0”接口，单击“开始抓包”按钮，使Wireshark工具开始抓包，如图6-51所示。（2）进入Kali攻击机，在命令输入窗口输入“dhcpstarv-v-ieth0”并执行，可以看到dhcpstarv一直在向/24网段持续、大量发送DHCPRequest报文请求IP地址，如图6-52所示。图6-51启动路由器抓包图6-52dhcpstarv攻击（3）在路由器AR1上，再次输入命令“displayippoolnameIP_150used”并执行，此时，可以看到DHCPServer的地址池被占满了，如图6-53所示。图6-53地址池被占满（4）进入Wireshark工具抓包界面，当出现dhcpstarv攻击时，DHCPServer也在持续、大量回复DHCPOffer报文，当Kali攻击机收到报文后，发送DHCPRequest报文请求占用DHCP服务器地址，DHCPServer以为是正常的DHCP_Client获取地址，于是发送DHCPACK确报文认，如图6-54所示。图6-54DHCP分配IP地址抓包（5）双击打开两条DHCPACK数据流，可以发现，在dhcpstarv攻击中，源MAC地址是不会改变的，只有CHADDR地址会改变，如图6-55所示。图6-55CHADDER地址改变（6）在交换机LSW1中，输入命令“